25 ответов
Что такое AI Act на практике?
Европейский AI Act — это первый масштабный европейский закон, который регулирует разработку и использование систем искусственного интеллекта. На практике он не относится ко всему ИИ одинаково: система классифицируется по уровню риска для людей, а более рискованным системам присваиваются более строгие обязательства. Большинство повседневных инструментов — чат-бот, помощник для написания текстов, модель прогнозирования — попадают в более лёгкие категории, где главные требования касаются прозрачности и базового управления, а не тяжёлой бюрократии.
Это регламент, поэтому он действует напрямую во всём ЕС — каждой стране не нужно переписывать его в свой закон. Он касается вас, если вы разрабатываете ИИ, а для МСП чаще — если вы просто его используете. Принцип — соразмерность: закон требует больше от системы, которая отбирает кандидатов, чем от той, что пишет вашу рассылку.
В целом для типичного малого предприятия AI Act вполне управляем — как только вы понимаете, к какой категории относятся ваши инструменты.
GiBSeS — Мы помогаем прочитать AI Act через призму ваших реальных инструментов, а не газетных заголовков, — чтобы вы точно знали, что вас касается. Первая ознакомительная беседа бесплатна. Это информационный материал, не юридическая консультация.
Как AI Act применяется к небольшой компании вроде моей?
Для большинства МСП AI Act применяется потому, что вы — «деплойер» (deployer), то есть используете системы ИИ, а не создаёте их. Это более лёгкая роль, чем у разработчика, но не нулевые обязательства. В целом от вас ожидается, что вы будете использовать системы по назначению, сохранять базовый контроль над тем, что они делают, обеспечите персоналу разумный уровень осведомлённости об ИИ и будете прозрачны с людьми там, где этого требуют правила.
Тяжёлые обязательства — оценки соответствия, техническая документация, регистрация — в основном ложатся на того, кто разрабатывает систему или выводит её на рынок, а не на вас как пользователя. Кроме того, AI Act прямо стремится облегчить нагрузку для МСП, например через упрощённые процедуры и меры поддержки.
Что именно изменится для вас, почти полностью зависит от того, что реально делает ваш ИИ и какие данные за этим стоят. Маркетинговый помощник — это совсем другая история, чем инструмент, который решает, кого нанять или какой кредит одобрить.
GiBSeS — Мы начинаем с того, что делим ваши инструменты на «почти не касается» и «требует внимания», — чтобы вы тратили силы только там, где это нужно. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Какие бывают уровни риска в AI Act (запрещённый, высокий, ограниченный, минимальный)?
AI Act делит системы на четыре категории. Запрещённые виды использования полностью под запретом — например, социальный скоринг граждан или манипулятивные системы, эксплуатирующие уязвимых людей. Высокий риск охватывает ИИ в чувствительных областях — подбор персонала, кредитный скоринг, критическая инфраструктура или отдельные компоненты безопасности: здесь действуют самые строгие требования. Ограниченный риск относится к системам, которые взаимодействуют с людьми или генерируют контент, — здесь главное требование — прозрачность, то есть сообщать людям, что они имеют дело с ИИ. Минимальный риск охватывает всё остальное, например спам-фильтры или большинство инструментов для повышения продуктивности, — без специфических обязательств.
Практический вывод для МСП: категорию определяет то, как вы используете систему, а не то, насколько она сложна технически. Одна и та же модель может быть минимального риска в одной задаче и высокого — в другой.
В целом большинство инструментов малого предприятия попадает в категории ограниченного или минимального риска, что удерживает усилия по комплаенсу на разумном уровне.
GiBSeS — Мы классифицируем каждый ваш кейс использования по правильной категории, чтобы вы не перегружали комплаенсом инструмент, которому это едва ли нужно. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Должен ли я сообщать людям, что использую ИИ?
В ряде случаев — да. AI Act устанавливает обязательства по прозрачности для систем с ограниченным риском. В общем случае, если люди напрямую взаимодействуют с ИИ — с чат-ботом, голосовым агентом, — их нужно проинформировать, что они общаются с машиной, если только это не очевидно само по себе. Контент, сгенерированный или искусственно изменённый ИИ, — например дипфейки или статьи, написанные ИИ и опубликованные как новости, — как правило, нужно маркировать соответствующим образом. Системы распознавания эмоций или биометрической категоризации также порождают обязанность информировать людей, которых они затрагивают.
Суть этих требований — честность, а не бюрократия: людей нельзя вводить в заблуждение относительно того, с кем они имеют дело — с человеком или машиной. Для большинства МСП это несложно: короткое уведомление в виджете чата, строка в подвале сайта, понятная маркировка синтетического контента.
В большинстве случаев вам не нужно декларировать каждое внутреннее использование ИИ — например, инструмент, который просто помогает вашим сотрудникам писать тексты за кулисами.
GiBSeS — Мы помогаем составить именно те немногие уведомления, которые вам реально нужны, — чёткие, честные, без юридического жаргона, — и пропустить лишние. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Что такое «AI literacy» (ст. 4) и касается ли это меня?
Статья 4 AI Act требует от поставщиков и деплойеров ИИ обеспечить достаточный уровень «AI literacy» (грамотности в сфере ИИ) у сотрудников, которые используют эти системы от их имени. Проще говоря: люди, использующие ИИ в вашей компании, должны понимать — на уровне, соответствующем их роли, — что делает инструмент, где он может ошибаться и как использовать его разумно. Это одно из немногих обязательств, которое ложится напрямую на вас как пользователя, и оно действует с начала 2025 года.
Это не система сертификации, и официального экзамена не существует. Для небольшой компании выполнение этого требования может свестись к короткому задокументированному внутреннему инструктажу: какие инструменты мы используем, в чём они хороши, а в чём нет, какие данные никогда нельзя туда вводить, к кому обращаться в случае сомнений.
В целом, если относиться к этому как к базовой осведомлённости персонала, а не как к комплаенс-проекту, требование остаётся лёгким и по-настоящему полезным.
GiBSeS — Мы можем провести для вашей команды короткую практическую сессию по AI literacy и оставить вам простой документальный след — сначала полезно, а соответствие требованиям — уже бонус. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Что такое GPAI / модели общего назначения и касаются ли они меня?
GPAI означает «ИИ общего назначения» (general-purpose AI) — крупные модели, такие, что стоят за самыми популярными чат-помощниками: они создаются не под одну задачу, а способны решать множество разных. AI Act устанавливает специальные обязательства для компаний, которые создают и распространяют такие модели: техническая документация, обобщённая прозрачность в отношении обучающих данных, соблюдение авторского права, а также дополнительные требования для самых крупных моделей, признанных несущими «системный риск».
Ключевой момент для МСП: практически все эти обязательства ложатся на поставщика модели, а не на вас как пользователя. Когда вы используете такую модель через обычный продукт или API, обязательства по GPAI несёт поставщик. Ваша ответственность возникает из того, как вы её используете, — прозрачность, защита данных, AI literacy, — а не из внутреннего устройства модели.
В большинстве случаев вам не нужно детально следить за правилами по GPAI — нужно выбирать поставщиков, которые ясно демонстрируют, что относятся к ним серьёзно.
GiBSeS — Когда мы сравниваем для вас инструменты, серьёзность поставщика в отношении обязательств по GPAI — одна из вещей, которые мы проверяем, чтобы вы не унаследовали чужой пробел в комплаенсе. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Могу ли я использовать ChatGPT с корпоративными данными, не нарушая GDPR?
Часто да, но не «по умолчанию» и не с любыми данными. GDPR не запрещает инструменты ИИ — он регулирует, что происходит с персональными данными. Решающие вопросы такие: вводите ли вы персональные данные, на каком правовом основании, какой договор у вас с поставщиком и куда эти данные попадают. Многие поставщики уже предлагают бизнес- или корпоративные тарифы, которые, как правило, не обучаются на ваших данных и предлагают условия обработки, подходящие для профессионального использования, — это совсем не то же самое, что бесплатный аккаунт для частных пользователей.
Практические правила простые: не вставляйте персональные или конфиденциальные данные в непроверенные инструменты, отдавайте предпочтение бизнес-тарифам с адекватными договорами и письменно зафиксируйте, какие инструменты одобрены для каких данных.
В большинстве случаев безопасный путь — не «никогда не используйте», а «используйте правильную версию, с правильными настройками, для правильных данных». Для всего чувствительного стоит быстро проконсультироваться со специалистом по защите данных.
GiBSeS — Мы помогаем зафиксировать простые письменные правила о том, какие данные попадают в какой инструмент, — правила, которые ваша команда реально будет соблюдать. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Куда на самом деле попадают мои данные, когда я использую инструмент ИИ?
Это полностью зависит от инструмента и тарифа, и именно поэтому стоит проверить это до того, как вы начнёте им пользоваться. В типичном облачном ИИ-сервисе ваши запросы и загруженные файлы отправляются на серверы поставщика, обрабатываются, и вам возвращается ответ. Меняются — и обычно это можно найти в документации — такие вещи: используются ли ваши данные для обучения будущих моделей, как долго они хранятся, где физически находятся серверы и кто выступает субобработчиками поставщика.
Бесплатные потребительские тарифы и бизнес-тарифы часто сильно различаются в этом отношении. Бизнес- и корпоративные тарифы, как правило, обещают отсутствие обучения на ваших данных, более короткие сроки хранения и более чёткие договорные условия; бесплатные тарифы зачастую гораздо менее строгие.
В целом, прежде чем доверить инструменту что-то важное, вы должны уметь ответить на три вопроса: используются ли мои данные для обучения, как долго они хранятся и в какой стране они обрабатываются. Если поставщик не даёт на это чёткого ответа, это уже само по себе тревожный сигнал.
GiBSeS — Чтение скучных пунктов о данных за вас — часть того, как мы оцениваем инструменты: мы отмечаем те, что не отвечают на эти три вопроса. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Нужна ли мне DPIA (оценка воздействия на защиту данных)?
Иногда. DPIA — это структурированная оценка, которую GDPR требует перед обработкой, которая «может представлять высокий риск» для прав людей, — например масштабный профайлинг, систематический мониторинг или обработка чувствительных данных. Если ИИ встраивается в такую обработку, это может привести к превышению этого порога; использование чат-бота для написания маркетинговых текстов — почти наверняка нет.
В целом, триггер здесь — не «мы используем ИИ», а «что мы делаем с персональными данными». Если ваш кейс использования ИИ включает автоматизированные решения о людях, масштабный профайлинг или чувствительные категории данных, DPIA, вероятно, уместна — и она действительно полезна, потому что заставляет продумать риски заранее, до того как они дадут о себе знать. Для обычных задач повышения продуктивности она, как правило, не требуется.
В большинстве случаев у МСП есть максимум один-два кейса использования, которые могут потребовать DPIA, — если вообще есть. Если случай пограничный, это подходящий момент, чтобы привлечь специалиста по защите данных, а не полагаться на интуицию.
GiBSeS — Мы помогаем определить, какие из ваших кейсов использования могут превысить порог DPIA, — чтобы вы не пропустили действительно нужную оценку и не тратили силы на лишние бумаги. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Какое правовое основание мне нужно и всегда ли требуется согласие?
Нет, согласие — не единственный вариант, и часто не лучший. Согласно GDPR, любая обработка персональных данных нуждается в правовом основании, и их несколько: согласие, исполнение договора, юридическое обязательство, жизненно важные интересы, задача в общественных интересах или «законный интерес». Для многих обычных бизнес-задач договор или законный интерес подходят лучше, чем согласие, которое хрупко, потому что его можно отозвать в любой момент.
Использование ИИ не меняет набор доступных правовых оснований — оно лишь означает применение той же логики к персональным данным, которых касается ИИ. Если вы уже обрабатывали данные клиентов на законном основании, пропуск части этого процесса через инструмент ИИ, как правило, не требует нового основания, хотя может изменить то, что вы сообщаете людям о том, как обрабатываются их данные.
В целом ошибка, которую нужно избегать, — это рефлекторно запрашивать согласие везде подряд. Выбирайте основание, которое действительно соответствует цели обработки, и документируйте свою логику.
GiBSeS — Мы помогаем сопоставить каждый кейс использования ИИ с разумным правовым основанием и соответствующим образом обновить политику конфиденциальности — не заваливая клиентов баннерами согласия. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
А как насчёт передачи данных за пределы ЕС, например в США?
Это один из самых частых вопросов о комплаенсе в сфере ИИ, потому что многие популярные инструменты управляются американскими компаниями. GDPR разрешает передачу данных за пределы ЕС, но только при наличии гарантий. В общем случае передача данных в США покрывается, если поставщик сертифицирован в рамках Рамочного соглашения ЕС-США о конфиденциальности данных (Data Privacy Framework), либо если применяются Стандартные договорные условия (Standard Contractual Clauses) плюс, где нужно, дополнительные меры. Документация поставщика обычно указывает, какой механизм применяется.
Для МСП практическая задача скромная: убедиться, что ваш поставщик предлагает действующий механизм передачи данных и, в идеале, регион обработки данных в ЕС, если он доступен. Многие бизнес-версии сервисов уже это предлагают.
В большинстве случаев вам не нужно полностью избегать американских инструментов — нужно выбирать те, что корректно организуют передачу данных и чётко об этом заявляют. Поскольку правовая база в этой сфере уже менялась в прошлом, это разумная область, за которой стоит следить, и её стоит подтвердить со специалистом, если данные чувствительные.
GiBSeS — Мы проверяем механизм передачи данных и варианты региона обработки, когда подбираем для вас инструменты, — чтобы трансграничная передача данных не стала сюрпризом позже. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Я «контролёр» или «обработчик» персональных данных? Почему это важно?
Для большинства МСП, использующих ИИ, вы — «контролёр» (controller) данных: именно вы решаете, зачем и как обрабатываются персональные данные. Поставщик ИИ обычно выступает «обработчиком» (processor), который действует по вашим инструкциям, а в цепочку могут входить и его собственные субобработчики. Это различие важно, потому что контролёр несёт основную ответственность — именно вы являетесь тем, к кому обращаются клиенты и надзорные органы.
На практике это означает несколько конкретных вещей. У вас должен быть договор об обработке данных (DPA) с поставщиком ИИ, вы должны знать, кто его субобработчики, и вы остаётесь ответственны за выбор поставщика, предлагающего адекватные гарантии. Тот факт, что данные обрабатывает поставщик, не снимает с вас ответственность — он лишь разделяет с вами её операционную часть.
В целом задача МСП здесь простая: убедиться, что каждый используемый вами поставщик ИИ подписал адекватный DPA, и понимать хотя бы в общих чертах, кто ещё соприкасается с данными дальше по цепочке.
GiBSeS — Мы помогаем проверить, что каждый инструмент сопровождается настоящим договором об обработке данных и понятным списком субобработчиков, — это основы, которые легко забыть проверить. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Какие штрафы предусмотрены в AI Act и GDPR и кто их платит?
Оба режима предусматривают штрафы, привязанные к обороту компании, что звучит пугающе, но важно смотреть на это в правильной перспективе. По GDPR самые серьёзные нарушения могут повлечь штраф до 4% годового глобального оборота или 20 миллионов евро — в зависимости от того, какая сумма больше. AI Act устанавливает собственные шкалы: самые суровые санкции — до 7% оборота или 35 миллионов евро — зарезервированы за использование запрещённых систем ИИ, а для остальных нарушений действуют более низкие пороги.
Эти громкие максимальные цифры рассчитаны на серьёзные, часто умышленные нарушения со стороны крупных игроков, а не на небольшую компанию, которая добросовестно ошиблась с чат-ботом. Надзорные органы, как правило, оценивают характер, тяжесть и умышленность нарушения. Кто платит, зависит от роли: деплойер — за недочёты в использовании, поставщик — за дефекты продукта.
В целом для МСП, действующего разумно, реалистичный риск гораздо меньше громких заголовочных цифр, но обязанность действовать разумно вполне реальна. Если вы не понимаете, где находитесь, имеет смысл проконсультироваться со специалистом.
GiBSeS — Мы помогаем сосредоточиться на немногих вещах, которые реально снижают риск, вместо того чтобы бояться санкции, рассчитанной на компании совсем другого масштаба. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Что такое Cyber Resilience Act и затрагивает ли он моё использование ИИ?
Cyber Resilience Act (CRA), Закон о киберустойчивости, — это отдельный закон ЕС о кибербезопасности продуктов с цифровыми элементами — в широком смысле, программного обеспечения и подключённых устройств, выводимых на рынок. Он возлагает обязанности по безопасности в первую очередь на производителей: разработку по принципу security-by-design, управление уязвимостями и обновления безопасности на протяжении всего жизненного цикла продукта.
Для МСП, которое использует ИИ, а не продаёт программные продукты, CRA затрагивает вас в основном косвенно: он подталкивает инструменты и устройства, которые вы покупаете, становиться более защищёнными, а это хорошая новость. Напрямую он касается вас прежде всего в том случае, если вы сами разрабатываете и выводите на рынок цифровые продукты. Там, где ИИ встроен в продукт, требования безопасности CRA и AI Act могут пересекаться, и их нужно рассматривать вместе.
В целом для типичного МСП-пользователя CRA — это скорее повод отдавать предпочтение поставщикам, которые серьёзно относятся к безопасности продукта, чем новая тяжёлая обязанность лично для вас.
GiBSeS — Уровень защищённости поставщика — часть того, что мы оцениваем, помогая вам выбирать инструменты, — так что качество, стимулируемое CRA, работает в вашу пользу. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Когда AI Act реально вступает в силу?
AI Act не включается сразу целиком — он вступает в силу поэтапно. Он вступил в силу в 2024 году, и разные обязательства применяются по поэтапному графику. В общих чертах, запреты на недопустимые виды использования и обязанность по AI literacy начали действовать первыми, в начале 2025 года. Обязательства для моделей ИИ общего назначения последовали в течение 2025 года. Основная масса правил для систем высокого риска применяется позже, с ключевыми датами в 2026 году и более отдалённым горизонтом до 2027 года для отдельных категорий, связанных с уже существующим законодательством о безопасности продукции.
Практический вывод для МСП: у вас нет одного «обрывистого» дедлайна — есть последовательность, и большая часть того, что касается обычных пользователей — прозрачность и AI literacy, — уже действует. Более тяжёлые обязательства по высокому риску, которые большинство малых предприятий вообще не затронут, наступают позже.
В большинстве случаев разумный шаг — заняться уже действующими обязанностями сейчас и пересматривать график по мере приближения следующих этапов, а не бросаться заранее и с избытком подстраиваться под всё сразу.
GiBSeS — Мы помогаем действовать в отношении того, что уже требуется, и спокойно планировать то, что придёт позже, не превращая каждый дедлайн в чрезвычайную ситуацию. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Помогает ли с комплаенсом локальный (on-premise) или «суверенный» ИИ?
Это может помочь с конкретными опасениями, но не является волшебной кнопкой комплаенса. Запуск моделей на собственных серверах или на «суверенной» инфраструктуре в ЕС держит данные физически ближе и может упростить вопросы передачи, хранения и доступа. Для по-настоящему чувствительных данных — медицинских, юридических, отдельных коммерческих тайн — такой контроль даёт реальное преимущество, а иногда становится решающим фактором.
Компромиссы честны: локальный ИИ дороже устанавливать и поддерживать, открытые модели, которые можно запускать самостоятельно, часто уступают по возможностям лучшим облачным моделям, а «суверенный» — это ярлык, а не гарантия: всё равно нужно проверять, что реально предлагается. Комплаенс зависит и от того, как вы используете систему, а не только от того, где она работает.
В целом локальное решение оправдано, когда чувствительность данных или требования суверенитета явно оправдывают дополнительные затраты, и избыточно, когда этого нет. Это инструмент, а не ответ по умолчанию.
GiBSeS — Мы помогаем честно оценить, оправдан ли локальный вариант для ваших данных или достаточно грамотно подобранной облачной конфигурации — без предвзятости в ту или иную сторону. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Нужен ли мне журнал аудита для ИИ и что означает accountability?
Accountability (подотчётность) — центральный принцип GDPR: недостаточно просто соответствовать требованиям, нужно уметь это доказать. Применительно к ИИ это означает вести лёгкий, но реальный след: какие инструменты вы используете, для чего, с какими данными, на каком правовом основании и что вы решили в отношении рисков. Это разница между «мы вроде бы всё делаем правильно» и «вот почему мы всё делаем правильно».
Журнал аудита в техническом смысле — логи того, что и когда делала система, — важен прежде всего для использования с более высоким риском, особенно там, где затрагиваются права людей и важно суметь восстановить ход решения. Для обычных инструментов повышения продуктивности след может быть гораздо легче: как правило, достаточно простого внутреннего реестра.
В целом цель не в бюрократии ради бюрократии, а в том, чтобы уметь спокойно и быстро ответить на вопрос «что мы делаем и почему это разумно». Для МСП один живой документ часто закрывает большую часть этой задачи.
GiBSeS — Мы помогаем настроить реестр на одну страницу, который удовлетворяет требованиям accountability, не превращаясь в бумажный проект. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Как работают права субъектов данных по GDPR, когда задействован ИИ?
Люди сохраняют все свои обычные права по GDPR и тогда, когда задействован ИИ: доступ к своим данным, исправление, удаление, возражение против обработки и так далее. Использование инструмента ИИ ничего из этого не приостанавливает. На практике это означает, что вы по-прежнему должны уметь найти, исправить или удалить персональные данные человека, включая те, что прошли через систему ИИ, и в общих чертах объяснить, как они используются.
Есть ещё одно право, о котором стоит знать: в общем случае люди имеют право не подвергаться решению, основанному исключительно на автоматизированной обработке, которое порождает для них значимые последствия, — представьте себе полностью автоматизированный найм или отказ в кредите, — без таких гарантий, как значимое участие человека. Решение обычно состоит в том, чтобы для решений, которые действительно важны, в цикле реально присутствовал человек.
В большинстве случаев обычная работа с помощью ИИ не запускает эти требования, потому что решение всё ещё принимает человек. Обязанность вступает в силу, когда решает сама машина, а ставки высоки.
GiBSeS — Мы помогаем спроектировать важные процессы так, чтобы человек действительно оставался в цикле, а права людей было легко соблюдать. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Кто несёт ответственность, если ИИ ошибается?
В целом ответственность за то, как используется результат работы ИИ, лежит на компании, которая его использует, а не на самом инструменте. Если ИИ-помощник указал неверные данные, а вы отправили их клиенту, — это ваш результат, примерно так же, как черновик младшего коллеги становится вашей ответственностью, как только вы его утвердили. Именно поэтому проверка человеком важна для всего, что имеет последствия.
Там, где дефект явно кроется в бракованном продукте или в нарушении договора со стороны поставщика, ответственность может частично переходить к поставщику, а правила ЕС об ответственности за продукцию и за ИИ развиваются, чтобы прояснить эти цепочки. Но для повседневных ошибок — выдуманного факта, неудачного письма — реалистичный ответ таков: ответственность за то, что вы публикуете, решаете или отправляете, несёте вы.
В большинстве случаев практическая защита проста и не особо эффектна: относитесь к результату работы ИИ как к черновику, проверяйте то, что важно, и не позволяйте уверенности машины подменять ваше суждение. Если речь о споре, связанном с реальным ущербом, это однозначно вопрос для юриста.
GiBSeS — Мы помогаем решить, какие результаты требуют одобрения человека, а какие нет, — чтобы ответственность оставалась понятной и управляемой. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Чего категорически НЕЛЬЗЯ делать с ИИ?
Короткий список закрывает большую часть реальной опасности. Не вставляйте персональные, конфиденциальные данные или данные клиентов в непроверенные бесплатные инструменты — это самая распространённая ошибка. Не используйте ИИ для запрещённых целей, которые запрещает AI Act, — таких как манипулятивные системы или социальный скоринг. Не позволяйте ИИ принимать решения с последствиями для людей — найм, увольнение, кредит, льготы — без какого-либо участия человека. Не публикуйте контент, созданный ИИ, как будто его проверил человек, если на самом деле никто его не проверял. Не выдавайте чат-бота за человека, если правила требуют это раскрывать. И не считайте само собой разумеющимся, что «поставщик заботится о комплаенсе» освобождает от ответственности вас как пользователя.
Ни один из этих пунктов не требует глубоких юридических знаний — это, по сути, здравый смысл, сформулированный явно. Компании, у которых возникают проблемы, обычно пропускают очевидное, а не что-то тёмное и сложное.
В целом, если кейс использования вызывает у вас ощущение, что он может серьёзно повлиять на человека или раскрыть чувствительные данные, притормозите и проверьте это — такая интуиция обычно права.
GiBSeS — Мы помогаем превратить этот список «нельзя» во внутреннюю политику на одну страницу, которую ваша команда реально сможет запомнить. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
С чего начать, если я хочу соответствовать требованиям?
Начните с инвентаризации, а не с юриста. Составьте список инструментов ИИ, которые вы реально используете, и что делает каждый из них. По каждому отметьте две вещи: затрагивает ли он персональные данные и принимает ли он или сильно влияет на решения о людях. Этот единственный шаг сортирует почти всё на «не вызывает беспокойства» и «требует внимания».
Дальше первые практические шаги обычно скромные: выбрать бизнес-версии инструментов с адекватными договорами об обработке данных, написать простые внутренние правила о том, какие данные куда идут, провести короткий инструктаж по AI literacy для персонала и вести реестр всего этого на одну страницу. Для немногих кейсов, затрагивающих чувствительные данные или автоматизированные решения, именно здесь DPIA или профессиональная проверка оправдывают себя.
В целом комплаенс для МСП — это меньше про масштабные проекты и больше про несколько хороших привычек, зафиксированных на бумаге. Не нужно делать всё сразу — нужно знать, что у вас есть, и в первую очередь заняться самыми рискованными частями.
GiBSeS — Мы можем провести эту инвентаризацию вместе с вами за одну сессию и передать чёткий приоритизированный список того, что нужно сделать, — и что можно спокойно игнорировать. Первая беседа бесплатна, без обязательств. Информационный материал, не юридическая консультация.
Делает ли ИИ соответствие GDPR более сложным, чем раньше?
Не существенно — по сути это применение тех же старых принципов к новым инструментам. GDPR уже много лет требует законной, прозрачной, минимизированной и безопасной обработки персональных данных. ИИ не переписывает эти принципы — он лишь добавляет несколько новых точек, где их нужно применять: что попадает в запрос, куда его отправляет поставщик, обучаются ли на ваших данных чьи-то модели.
По-настоящему новые нюансы скромны для большинства МСП: быть внимательным при вставке персональных данных в инструменты, выбирать поставщиков с надёжными условиями обработки данных и следить за автоматизированными решениями. Если ваш «порядок в данных» был разумным ещё до ИИ, распространить этот порядок на инструменты ИИ — это постепенный шаг, а не перестройка с нуля.
В целом компании, у которых возникают трудности, обычно уже до этого были неаккуратны с персональными данными — ИИ лишь делает существующие пробелы более заметными. Навести порядок в базовых вещах — самый ценный шаг, и он окупается далеко за пределами темы ИИ.
GiBSeS — Мы помогаем распространить ваши существующие практики работы с данными на инструменты ИИ, отталкиваясь от того, что у вас уже есть, а не начиная с нуля. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Поставщик утверждает, что его инструмент «полностью соответствует AI Act и GDPR», — можно ли ему доверять?
Относитесь к этому как к отправной точке, а не как к выводу. Ни один отдельный продукт не может сделать вас соответствующим требованиям, потому что значительная часть комплаенса зависит от того, как вы его используете, и от вашей роли контролёра и деплойера. Поставщик может соответствовать требованиям как продукт, а вы всё равно можете нарушать их в том, как вы его используете, — например, вводя туда данные, которые не должны там оказаться, или используя его для цели, для которой он не был спроектирован.
Полезные утверждения конкретны и проверяемы: механизм передачи данных, названный по имени, настоящий договор об обработке данных, понятный список субобработчиков, задокументированные сроки хранения, отсутствие обучения на ваших данных. Расплывчатые ярлыки вроде «готов к GDPR» или «соответствует AI Act» без содержательного наполнения — это маркетинг, а иногда и тревожный сигнал.
В целом серьёзный поставщик охотно покажет вам документы; тот, кто этого не делает, тем самым вам кое-что сообщает. Ответственность за общую картину остаётся на вас, и именно поэтому независимый взгляд со стороны помогает.
GiBSeS — Отсекать маркетинг комплаенса и добираться до документов, которые действительно важны, — это суть того, как мы оцениваем инструменты: независимо, без собственного продукта, который мы хотели бы вам продать. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Как понять, использую ли я систему ИИ «высокого риска»?
Высокий риск определяется не тем, насколько мощным выглядит ИИ, а конкретным кейсом использования. AI Act перечисляет области, которые считаются высокорисковыми, и они сосредоточены вокруг решений с реальными последствиями для людей: подбор персонала и управление работниками, доступ к образованию, кредитоспособность и доступ к базовым услугам, отдельные объекты критической инфраструктуры и компоненты безопасности, деятельность полиции и миграционные вопросы, и ряд других. Если ваш ИИ применяется в одной из этих областей, он, вероятно, относится к высокому риску и несёт самые тяжёлые обязательства.
Для большинства МСП честный ответ таков: ни один из их инструментов не относится к высокому риску — написание текстов, суммаризация, планирование и анализ обычно к нему не относятся. Стоит насторожиться, когда ИИ начинает отбирать людей или регулировать доступ к чему-то важному.
В целом задайте каждому инструменту один вопрос: помогает ли он принять значимое решение о конкретном человеке? Если да — присмотритесь внимательнее; если нет — вы почти наверняка находитесь в более лёгких категориях риска. Если случай пограничный, это подходящий момент, чтобы запросить профессиональное мнение.
GiBSeS — Мы помогаем проверить, не заходит ли какой-то из ваших кейсов использования на территорию высокого риска, — чтобы вас не застали врасплох и не перегрузили лишними требованиями. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Рискованнее ли использовать небольшой ИИ-стартап, чем крупного поставщика?
У каждого варианта свои риски, и «крупнее» не значит автоматически «безопаснее». У крупных поставщиков, как правило, отработанные договоры об обработке данных, формальные механизмы передачи и понятная документация — это снижает ваши трения с комплаенсом. Но они также могут быть менее гибкими, от них труднее добиться ответа, и они обрабатывают данные в огромных масштабах. Небольшой специализированный поставщик может обеспечить более тесную поддержку и более понятные ответы, но ему может не хватать надёжных договоров, достаточной прозрачности по субобработчикам или долгосрочной устойчивости.
Настоящий вопрос — не в размере, а в том, умеет ли поставщик ответить на базовые вопросы: куда попадают данные, обучается ли он на ваших данных, какой договор предлагает, кто его субобработчики и будет ли он существовать через год. Небольшой поставщик, который отвечает чётко и по существу, может быть более надёжной ставкой, чем гигант, который заваливает вас юридическим жаргоном.
В целом оценивайте поставщиков по прозрачности и содержательности договоров, а не по размеру логотипа, — и не доверяйте незаменимые данные тому, кто оставляет сомнения в своей устойчивости.
GiBSeS — Мы оцениваем поставщиков любого размера по тем вещам, которые реально вас защищают, — чтобы вы выбирали по существу, а не только по репутации. Первая беседа бесплатна. Информационный материал, не юридическая консультация.
Этот материал носит информационный характер и не является юридической консультацией.
Боитесь ошибиться с комплаенсом ИИ? Мы сделаем его простым — без питчей.
Приходите со своими инструментами, вопросами о данных и худшими опасениями. В бесплатной беседе мы поможем отделить то, что реально касается вашей компании, от простого информационного шума, и передадим вам чёткий приоритизированный список следующих шагов — независимо, без программного обеспечения, которое мы хотим вам продать. Там, где правильный ответ — «обсудите это с юристом», мы честно так и скажем. Это информационный материал, не юридическая консультация, а первая ознакомительная беседа бесплатна.
Записаться на бесплатную ознакомительную беседу